Cómo elegir la base de licitud correcta en la Ley 21.719
Todo tratamiento de datos personales necesita una justificación jurídica. Sin ella, el tratamiento es ilícito — con independencia de que la finalidad sea legítima o de que el dato sea "público". Esa justificación es lo que la Ley N° 21.719 denomina base de licitud, y es uno de los pilares de cualquier programa de conformidad.
El problema es que muchas organizaciones simplemente marcan "consentimiento" para todo y siguen adelante. Ese atajo, además de ser jurídicamente incorrecto en la mayoría de los casos, crea un riesgo real: si el titular revoca el consentimiento, el tratamiento se vuelve inmediatamente ilícito — aunque hubiera existido una base de licitud más adecuada disponible.
Esta guía explica las 7 bases de licitud de la Ley N° 21.719, cómo elegir la correcta para cada situación y cómo documentar adecuadamente esa elección.
Las 7 bases de licitud de la Ley 21.719
La Ley N° 21.719 establece que el tratamiento de datos personales solo puede realizarse cuando existe una de las siguientes bases de licitud:
| # | Base de licitud | Descripción práctica |
|---|---|---|
| 1 | Consentimiento del titular | El titular autorizó el tratamiento de forma libre, informada, específica, inequívoca y verificable |
| 2 | Cumplimiento de obligación legal | Una ley o reglamento exige el tratamiento (ej.: obligaciones tributarias, laborales, sanitarias) |
| 3 | Ejecución de contrato | Necesario para ejecutar un contrato del que el titular es parte, o para procedimientos precontractuales a su solicitud |
| 4 | Protección de la vida o integridad física | Cuando el tratamiento sea indispensable para proteger la vida, la salud o la integridad física del titular o de otra persona, y el titular no pueda prestar consentimiento |
| 5 | Interés legítimo | Cuando existe un interés legítimo del responsable o de tercero que no prevalezca sobre los derechos y libertades fundamentales del titular — requiere Evaluación de Interés Legítimo (EIL) documentada |
| 6 | Ejercicio de atribuciones de organismos públicos | Exclusivo del sector público; para el ejercicio de competencias y atribuciones legalmente asignadas |
| 7 | Datos relativos a obligaciones económicas, financieras o comerciales | Para la protección del crédito y el tratamiento de datos de historial crediticio o cumplimiento de obligaciones económicas |
Diferencia clave respecto al RGPD: El RGPD europeo tiene 6 bases similares (Art. 6). La Ley N° 21.719 adoptó un esquema comparable con 7 bases, incluyendo la protección de la vida como base autónoma y añadiendo una base específica para datos de obligaciones económicas. La base de "investigación científica" del RGPD no tiene equivalente autónomo en la ley chilena — esas situaciones se canalizan, según corresponda, a través del consentimiento, la obligación legal o el interés legítimo con las salvaguardas apropiadas.
Bases de licitud para datos sensibles: restricciones especiales
La Ley N° 21.719 define como datos sensibles aquellos que revelan origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos de salud, vida u orientación sexual, datos genéticos y datos biométricos.
Para datos sensibles, las bases de licitud son más restrictivas. El principio general es que el tratamiento requiere consentimiento explícito y específico del titular —o bien una de las siguientes hipótesis de excepción:
| Hipótesis de excepción | Ejemplo |
|---|---|
| Obligación legal | Datos de salud para obligaciones laborales (licencias médicas, mutuales) |
| Protección de la vida o integridad física | Urgencias médicas donde el titular no puede consentir |
| Procedimientos médicos por profesionales de salud o servicios de salud | Historia clínica en hospital o clínica |
| Procesos judiciales, administrativos o arbitrales | Defensa en juicio laboral con datos médicos |
| Prevención del fraude y seguridad del titular en procesos de identificación y autenticación | Biometría para control de acceso a instalaciones críticas |
Restricción absoluta: El interés legítimo NO es base de licitud válida para datos sensibles bajo la Ley N° 21.719. Esto significa que datos de salud, biometría, origen étnico, afiliación política/sindical u orientación sexual jamás pueden tratarse invocando interés legítimo.
Cómo elegir la base de licitud correcta: 7 pasos
Paso 1 — Defina la finalidad con precisión
La base de licitud está intrínsecamente ligada a la finalidad. Sin finalidad específica, explícita y legítima, no hay base de licitud que se sustente. Pregúntese: ¿por qué necesitamos este dato? ¿Para hacer exactamente qué?
Finalidades vagas — "mejorar la experiencia del usuario" o "fines de marketing" sin especificación — no satisfacen el principio de finalidad e invalidan cualquier base de licitud invocada.
Paso 2 — Verifique si existe obligación legal previa
Si una ley, decreto, reglamento u otro instrumento normativo exige el tratamiento, la base correcta es la obligación legal. Esta es la más segura: no puede ser revocada por el titular y no requiere consentimiento.
Ejemplos típicos:
- Datos para liquidaciones de sueldo (Código del Trabajo) → obligación legal
- Declaraciones tributarias al SII → obligación legal
- Cotizaciones a AFP y fondos de salud (FONASA/Isapre) → obligación legal
- Registros de accidentes del trabajo (mutuales de seguridad: ACHS, Mutual de Seguridad, IST) → obligación legal
- Datos para facturación electrónica (SII) → obligación legal
Paso 3 — Verifique si existe contrato con el titular
Si el tratamiento es necesario para ejecutar un contrato del que el titular es parte, la base es la ejecución de contrato. Note: el titular debe ser parte del contrato — datos tratados para servir contratos con terceros no se encuadran aquí.
Ejemplos:
- Domicilio de despacho de producto comprado en línea → ejecución de contrato
- Datos bancarios para pago de servicio contratado → ejecución de contrato
- Datos del candidato en proceso de selección (procedimientos precontractuales a su solicitud) → ejecución de contrato
Paso 4 — Verifique si aplica la protección de la vida
Si el tratamiento es indispensable para proteger la vida, la salud o la integridad física del titular o de otra persona — y el titular no puede prestar consentimiento —, la base es la protección de la vida o integridad física. Esta base aplica en situaciones de emergencia donde obtener consentimiento es imposible o impracticable.
Ejemplos:
- Acceso a datos médicos de un paciente inconsciente en urgencias → protección de la vida
- Geolocalización de una persona desaparecida o en riesgo vital → protección de la vida
- Comunicación de datos de salud a servicios de emergencia (SAMU, Bomberos) → protección de la vida
Limitación: Esta base no puede invocarse cuando el titular está en condiciones de consentir. Tampoco cubre tratamientos preventivos genéricos — debe existir un riesgo real e inminente.
Paso 5 — Verifique si los datos son sensibles
Si sí, aplique las restricciones especiales descritas anteriormente. Verifique si hay obligación legal o una de las hipótesis de excepción. Si ninguna aplica, será necesario el consentimiento explícito y específico del titular.
Atención: Una empresa de RR.HH. que recolecta certificados médicos no puede invocar "procedimientos médicos" como base — esa hipótesis es exclusiva de profesionales y servicios de salud. La base correcta en ese caso es obligación legal (Código del Trabajo y normativa laboral que permite la recolección de licencias médicas).
Paso 6 — Evalúe el interés legítimo (con cautela)
El interés legítimo es la base más flexible y al mismo tiempo la más exigente en términos de documentación. Requiere la elaboración de una EIL (Evaluación de Interés Legítimo) con tres fases:
Fase 1 — Finalidad: ¿El interés del responsable es concreto, lícito y vinculado a finalidades específicas? ¿No es especulativo ni futuro?
Fase 2 — Necesidad: ¿El tratamiento es estrictamente necesario para alcanzar la finalidad? ¿Existe una alternativa menos invasiva para la privacidad?
Fase 3 — Ponderación y salvaguardas: ¿Los intereses del titular prevalecen sobre los del responsable? ¿El titular podría razonablemente anticipar ese uso de sus datos? ¿Existen salvaguardas (derecho a oposición, seudonimización, minimización)?
Si cualquier fase no se supera, el interés legítimo no puede invocarse.
Restricciones absolutas al interés legítimo:
- Datos sensibles (la Ley N° 21.719 no admite esta base para datos sensibles)
- Datos de niños, niñas y adolescentes (evaluación más estricta — principio del interés superior del niño)
Paso 7 — El consentimiento como última opción, no primera
El consentimiento es la base de licitud más frágil de la Ley N° 21.719, no la más segura. Puede revocarse en cualquier momento, tornando el tratamiento ilícito de inmediato. Además, exige requisitos estrictos:
- Libre: sin condicionamiento (no puede ser condición para el servicio, salvo cuando el dato es esencial para el servicio)
- Informado: el titular debe entender exactamente qué está autorizando
- Específico: un consentimiento para múltiples finalidades debe ser granular
- Inequívoco: manifestación afirmativa — casillas pre-marcadas son inválidas
- Verificable: la organización debe poder demostrar que el consentimiento fue otorgado
Cuándo el consentimiento tiene sentido:
- Marketing por correo electrónico o SMS (cuando no hay relación contractual previa)
- Recolección de datos sensibles que no se encuadran en ninguna hipótesis de excepción
- Finalidades que van más allá de lo necesario para ejecutar el contrato
- Cookies no esenciales y tecnologías de seguimiento
Bases de licitud en la práctica: ejemplos por sector
| Situación | Base de licitud correcta | ¿Por qué? |
|---|---|---|
| Liquidación de sueldo y cotizaciones | Obligación legal | Código del Trabajo, AFP, SII exigen el tratamiento |
| Gestión de contratos con clientes | Ejecución de contrato | Necesario para cumplir el contrato |
| Registro biométrico para acceso | Consentimiento explícito | Dato sensible — requiere consentimiento específico |
| Historia clínica en hospital | Procedimiento médico (excepción datos sensibles) | Servicio de salud en atención directa |
| Prevención de fraudes en fintech | Interés legítimo + datos crediticios (base 6) | Interés legítimo documentado en EIL |
| Análisis de comportamiento para marketing | Interés legítimo | Con EIL documentada y derecho a oposición disponible |
| Defensa en proceso laboral | Obligación legal o interés legítimo | Proceso judicial en curso |
| Encuesta de satisfacción de clientes | Interés legítimo | Con EIL documentada |
| Datos de candidatos a empleo | Ejecución de contrato | Procedimientos precontractuales a solicitud del titular |
| Contenido de newsletter comercial | Consentimiento | Comunicación de marketing sin relación previa |
| Consulta a Dicom/Infocom | Datos crediticios (base 6) | Protección del crédito conforme Ley N° 21.719 |
| Datos de proveedores en el RAT | Ejecución de contrato | Necesario para gestionar la relación comercial |
Errores más comunes en la elección de base de licitud
Error 1 — Consentimiento genérico para todo Además de jurídicamente inválido (debe ser específico por finalidad), crea dependencia: si el titular revoca, el tratamiento cesa — aunque existiera base legal más apropiada.
Error 2 — Usar la base de "organismos públicos" en entidades privadas La base 5 es exclusiva del sector público. Las empresas privadas no pueden invocarla.
Error 3 — Interés legítimo para datos sensibles Restricción expresa de la Ley N° 21.719. Licencias médicas, datos biométricos, información de salud o afiliación política nunca pueden tratarse con base en interés legítimo.
Error 4 — "Procedimientos médicos" fuera del contexto sanitario La excepción de procedimiento médico para datos sensibles aplica a profesionales de la salud, servicios de salud y autoridades sanitarias. Una empresa de RR.HH., una aseguradora o una administradora de isapre en función distinta a la atención directa de salud no pueden invocar esta excepción como base principal.
Error 5 — Múltiples bases para la misma actividad Cada actividad de tratamiento debe tener una base de licitud principal claramente definida. Invocar dos o tres bases simultáneamente indica que ninguna está bien fundamentada y genera inseguridad jurídica.
Error 6 — No revisar la base de licitud cuando cambia la finalidad El principio de finalidad de la Ley N° 21.719 prohíbe el tratamiento para fines incompatibles con la finalidad original. Si la finalidad cambia, la base de licitud debe reevaluarse — y el titular debe ser informado.
Cómo documentar la base de licitud en el RAT
La base de licitud debe constar en el Registro de Actividades de Tratamiento con el siguiente nivel de detalle mínimo:
Actividad: Gestión y liquidación de remuneraciones
Finalidad: Cumplimiento de obligaciones laborales y previsionales
Base de licitud: Obligación legal — Código del Trabajo, Ley N° 17.322 (AFP),
DFL N° 1/2005 (FONASA), normativa SII sobre retención de impuestos
Justificación: La legislación laboral chilena exige la recolección y conservación
de estos datos como condición para la admisión, remuneración y
desvinculación de colaboradores.
Datos sensibles: Datos de salud (licencias médicas, accidentes del trabajo)
Base de licitud datos sensibles: Obligación legal — DT N° 4.755/2010, Código
del Trabajo Art. 152 y normativa de mutuales
Para el interés legítimo: el RAT debe referenciar la EIL documentada, que puede ser solicitada por la Agencia de Protección de Datos Personales en cualquier momento.
Para el consentimiento: mantener registro de las recolecciones con fecha y hora, versión de la política de privacidad vigente en ese momento, y mecanismo de revocación disponible y funcional.
Conclusión
Definir correctamente las bases de licitud no es burocracia — es la diferencia entre un programa de conformidad sólido y uno que se derrumba ante la primera fiscalización de la Agencia de Protección de Datos Personales o el primer requerimiento de un titular.
La secuencia correcta es: finalidad específica → verificar obligación legal → verificar base contractual → verificar protección de la vida → evaluar datos sensibles → evaluar interés legítimo (con EIL) → consentimiento como última opción. Y documentar todo en el RAT.
¿Necesita estructurar las bases de licitud de cada actividad de tratamiento de su organización? Confidata organiza su RAT con campos de justificación de base de licitud, vinculación con la EIPD y alertas cuando cambios de proceso exigen revisión de la base de licitud.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.